In diesem Abschnitt soll versucht werden, mögliche Fragen vorwegzunehmen und kurz und bündig zu beantworten.
Ich verwende die spezielle Mitgliedschaft für alle Bereiche (*), die Zeitbereiche werden jedoch nicht berücksichtigt. Woran liegt das?
Die Übereinstimmung mit "*" markiert das Computerobjekt als Mitglied aller Bereiche und impliziert außerdem, dass es sich um einen "super-user" handelt. Ein Objekt mit Superuser-Zugriff kann alle Vorgänge ausführen. Daher lässt das Autorisierungs-Subsystem den angegebenen Vorgang immer zu, unabhängig von Zeit- oder Zugriffsbeschränkungen. Ein Superuser-Bereich unterliegt hinsichtlich der von ihm ausgeführten Vorgänge keinen Einschränkungen, er kann z. B. beliebig Verbindungen herstellen und Abfragen durchführen. Beachten Sie, dass die Verwendung des Superuser-Typs mit einer Warnung im Systemanwendungsprotokoll überwacht wird.
Gibt es eine Möglichkeit, Regeln vor ihrer Anwendung zu prüfen?
Ja. Verwenden Sie hierzu den ENC-Hilfsprogramm-Befehl "encUtilCmd" und den Befehl 'verify'. Hiermit können Sie alle vorausgehend aufgelisteten Ereignisse simulieren. Genaue Anweisungen zur Verwendung der Anwendung finden Sie im Referenzhandbuch zu "encUtilCmd".
Ich muss eine große Anzahl von Regeln erstellen. Gibt es dazu eine einfachere Möglichkeit?
Ja. Verwenden Sie auch hierzu den ENC-Hilfsprogramm-Befehl "encUtilCmd". Mit dem Befehl 'create' können Sie einen Regelsatz für mehrere Bereiche erstellen, und er definiert einen grundlegenden Satz von Regeln, der den Ansatz in diesem Dokumentabschnitt widerspiegelt. Sie können gleichzeitig auch ein Testskript erstellen, das alle erstellten Regeln mit Hilfe von simulierten Identitäten verifiziert. Sie können anschließend die generierten Regeln dahingehend ändern, dass sie die echten Sicherheitsidentitäten verwenden, und andere Bereiche auf Ihre speziellen Anforderungen abstimmen.
|
Copyright © 2013 CA.
Alle Rechte vorbehalten.
|
|